Non-profit yang didirikan oleh Gates Foundation menderita eksposur besar dari catatan siswa

Dapatkan Schooling, yang berbasis di New York amal menderita data paparan yang meninggalkan catatan yang terkait dengan ratusan ribu siswa yang tidak aman AWS ember yang terbuka dan dapat diakses dari internet.

Pemaparan pertama kali diidentifikasi oleh TurgenSec, sebuah perusahaan keamanan yang berbasis di Inggris, yang menerima pengajuan dari anonim pihak ketiga yang berisi data yang mengaku dari salah konfigurasi AWS penyimpanan ember yang digunakan oleh Mendapatkan Schooling. Keaslian dari paparan tersebut akhirnya dikonfirmasi oleh TurgenSec analis keamanan, dan mereka diberitahu nirlaba pada 18 November. Dapatkan Disekolahkan telah mengkonfirmasi paparan SC Media dan outlet-outlet lain dan bahwa kesalahan konfigurasi tetap pada Dec. 21 sebelum staf kiri untuk liburan.

Dapatkan Disekolahkan dimulai pada tahun 2009 dan menyediakan sumber daya pendidikan, penelitian dan bantuan kepada siswa selama proses aplikasi perguruan tinggi, universitas mereka tenor dan post-college berburu pekerjaan. Terkena data termasuk rincian terkait untuk mahasiswa yang terlibat dalam organisasi nirlaba, termasuk nama-nama, email, usia, jenis kelamin, mereka sekolah atau perguruan tinggi dan wisuda data. Dalam beberapa kasus, alamat fisik dan nomor telepon yang juga terkena.

TurgenSec diperkirakan jumlah individu yang terkena bisa lebih dari 900.000, tapi angka itu telah dibantah oleh Mendapatkan Schooling. Dalam sebuah wawancara, John Branam, organisasi direktur eksekutif, dikonfirmasi masalah ini berkaitan dengan salah konfigurasi AWS ember tapi mengatakan jumlah sebenarnya dari individu yang terkena lebih dekat 250.000. Ia mengatakan TurgenSec tidak de-duplikasi data yang mereka terima dan sebagai hasilnya kemungkinan besar akan menghitung ratusan ribu duplikat alamat email. Sebuah TurgenSec kata juru bicara itu mungkin jumlah sebenarnya dari individu yang terkena lebih tinggi.

Branam juga meremehkan nilai dari data yang terkena, mengatakan bahwa hal itu tidak mengandung nomor jaminan Sosial, tanggal lahir, atau informasi keuangan yang terkena dampak individu. Sementara data lain, seperti alamat email untuk siswa yang terlibat dengan organisasi nirlaba dan “beberapa” alamat fisik termasuk, kata dia sebagian besar adalah usang atau terikat ke akun yang siswa miliki dengan mantan mereka sekolah-sekolah tinggi yang baik tidak aktif lagi atau dihapus dari sistem sekolah setelah lulus.

“Hal ini sangat disayangkan, kita tidak memperdebatkan hal itu dan kita mengambil tanggung jawab untuk itu,” katanya. “Kesalahan bisa terjadi, tetapi dalam hal ini sebagian besar data ini adalah tidak relevan dan dalam kasus-kasus di mana ada beberapa relevansi dalam hal orang-orang muda yang masih terlibat dengan Mendapatkan Disekolahkan, paling-paling anda akan sebagian besar berbicara tentang sedikit potensi untuk spam meningkat.”

Branam mengatakan organisasi tersebut telah diberitahukan individu yang terkena dan belum mendengar laporan ada atau kekhawatiran tentang pencurian identitas atau spam meningkat yang akan menunjukkan meluasnya penggunaan berbahaya terkena data. Mereka juga terlibat dengan pihak ketiga vendor keamanan untuk memeriksa keamanan mereka postur tubuh. Sementara TurgenSec mengatakan pihaknya mendapat data dari anonim pihak ketiga (yang mungkin diakses), Branam mengatakan organisasinya tidak memiliki bukti untuk membuktikan atau tidak membuktikan bahwa setiap akses yang tidak sah dari data berlangsung.

Sementara itu awalnya diluncurkan dengan dukungan dari Yayasan Bill dan Melinda Gates, Viacom AT&T dan Capital One, Branam menekankan bahwa pakaian tetap nirlaba kecil dengan anggaran terbatas dan staf. Dapatkan Disekolahkan punya budget lebih dari $2 juta pada tahun 2018 dan tahun 2017, menurut Charity Navigator, yang menyarankan para pengguna bahwa mereka dapat “Memberi ragu” sebagian besar disebabkan oleh non-profit ini transparansi keuangan dan administrasi rendah di atas kepala.”

Mereka saat ini memiliki 12 karyawan, dan keamanan kerja adalah sering ditangani oleh orang-orang pada staf dengan jabatan dan tanggung jawabnya, tidak jarang kenyataan di non-profit dunia. Menurut DonorBox, kecil organisasi non-profit dapat membuat target yang menarik bagi hacker baik karena mereka mungkin memiliki data berharga pada donor dan karena sumber daya yang sangat terbatas yang cybersecurity sering jatuh di pinggir jalan. Branam mengatakan donor biasanya mencari untuk memberikan uang untuk misi tertentu atau program-program dalam suatu organisasi, dan garis anggaran barang-barang untuk meningkatkan keamanan cyber biasanya tidak menerima banyak dukungan keuangan.

Ironisnya, ia mengatakan, respon tertunda mengatasi kesalahan konfigurasi adalah sebagian karena kekhawatiran atas keamanan cyber. Staf merasa nada email awal dari TurgenSec tampak “off” dan ada kekhawatiran itu bisa saja upaya phishing. Mereka akhirnya mampu mengkonfirmasi kesalahan konfigurasi dan alamat itu. Dia bilang dia sedang mencoba untuk kaki kanan garis antara tidak muncul meremehkan paparan sementara juga tidak melebih-lebihkan dampak.

“Dalam kasus ini, itu adalah kesalahan yang sangat kecil tetapi tentu saja di dunia digital, kesalahan-kesalahan kecil yang dapat mengekspos banyak data,” katanya. “Saya tidak memiliki keprihatinan serius tentang praktik kami tapi saya pikir kesempatan di sini adalah untuk belajar dan mendapatkan yang lebih baik.”

Financial Times pertama kali melaporkan pada data eksposur.

Leave a Reply

Your email address will not be published. Required fields are marked *